WordPress Beveiliging: Een Kijkje Achter de Schermen

Terwijl WordPress blijft groeien, zijn recente ontwikkelingen voornamelijk gericht geweest op de ontwikkeling van de Gutenberg-editor, waardoor verbeteringen op het gebied van beveiliging achterblijven.

  • Opvallend genoeg worden wachtwoorden nog steeds gehasht met behulp van md5.
  • Tweefactorauthenticatie moet nog steeds een kernfunctie worden.
    Functies voor sessiebeheer, cruciaal voor het aanpakken van aanvallen op het stelen van cookies, staan nergens op de routekaart.
  • Met de ontwikkelingsprioriteiten van de WordPress-kern elders, zijn er veel beveiligingsplugins van derden ontstaan om dit gat op te vullen.

Bepaalde "beveiligings"functies kunnen veel efficiënter op server- of netwerkniveau geïmplementeerd kunnen worden (zoals een WAF, malwarescanning of malwaredetectie).In veel gevallen pushen veel van de security plugins zelfs functies die slechts beveiligingstheater zijn, met als enige doel er goed uit te zien in marketingteksten, terwijl ze je CPU belasten.

In de herfst van 2022 heeft er een kort onderzoek plaatsgevonden naar bijna alle belangrijke beveiligingsplugins, en de resultaten waren verontrustend.

Er zijn 57 kwetsbaarheden geïdentificeerd en vertrouwelijk gemeld in 24 plugins, die meer dan 16 miljoen websites beïnvloeden. Veel van deze kwetsbaarheden hadden kunnen leiden tot volledige overname van een website.

De meeste problemen ontstonden doordat de meest basale beveiligingsprincipes niet werden nageleefd, zoals het niet vertrouwen van gebruikersinvoer, het niet opslaan van gevoelige gegevens in platte tekst en het vermijden van zelfgemaakte cryptografie - wat zorgwekkend is.

Daarnaast leidde het ontoereikende omgaan met gemelde problemen door sommige leveranciers ertoe dat we tot de conclusie kwamen dat een alternatieve oplossing dringend nodig is.

Snicco Fortress is de enige oplossing die deze kwetsbaarheden aanpakt en gaat veel verder dan de basisvereisten en biedt vier onafhankelijke modules die je site beschermen op gebieden die het meest effectief worden behandeld op plug-in niveau. 
Door exclusieve ondersteuning te bieden voor PHP 7.4|8.0|8.1, maakt Fortress gebruik van de krachtigste versleutelingsbibliotheek die beschikbaar is in PHP.

Two-Factor Authentication

Een 2FA-suite met unieke verdedigingsmaatregelen in de diepte, ondoordringbaar zelfs als je volledige database gecompromitteerd is.

Session Protection

Fortress brengt bescherming tegen sessie-overname en diefstal van cookies op het niveau van Fortune 500 naar WordPress.

Password Security & Hashing

Een plug-and-play wachtwoordhashingschema op basis van argon2 dat hackers tientallen jaren lang tandenknarsend zal laten doorbrengen in plaats van dat ze je wachtwoordhashes in uren kraken.

Login Protection

De op maat gemaakte login protectie van Fortress stopt zelfs de meest gemene verdeelde, op meerdere IP's gebaseerde brute force-aanvallen in hun tracks zonder frustrerende captcha's.

Lees meer:
https://snicco.io/blog/the-state-of-wordpress-security-plugins-in-2022

https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-core/wordpress-core-482-weak-hashing-algorithm